![ShellBot, Linux SSH Sunucularına Yapılan Saldırılarda Tespitten Kaçmak için Hex IP’leri Kullanıyor](https://kilalu.blog/news/2024-07-11-18:00/ShellBot, Linux SSH Sunucularına Yapılan Saldırılarda Tespitten Kaçmak için Hex IP’leri Kullanıyor.jpg)
12 Ekim 2023Haber odası
Arkasındaki tehdit aktörleri ShellBot kötü yönetilen Linux SSH sunucularına sızmak ve DDoS kötü amaçlı yazılımını dağıtmak için onaltılık gösterime dönüştürülmüş IP adreslerinden yararlanıyor.
AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) “Genel akış aynı kalıyor ancak tehdit aktörünün ShellBot’u yüklemek için kullandığı indirme URL’si normal IP adresinden onaltılık değere dönüştü.” söz konusu bugün yayınlanan yeni bir raporda.
PerlBot adıyla da bilinen ShellBot’un, zayıf SSH kimlik bilgilerine sahip sunuculara bir güvenlik açığı kullanarak sızma yaptığı biliniyor. sözlük saldırısıkötü amaçlı yazılımın DDoS saldırıları düzenlemek ve kripto para birimi madencilerini dağıtmak için bir kanal olarak kullanıldığı.
Perl’de geliştirilen kötü amaçlı yazılım, bir komuta ve kontrol (C2) sunucusuyla iletişim kurmak için IRC protokolünü kullanıyor.
ShellBot’u içeren en son gözlemlenen saldırıların, kötü amaçlı yazılımı, 39.99.218’e karşılık gelen hxxp://0x2763da4e/ onaltılık IP adreslerini kullanarak yüklediği tespit edildi.[.]78 – URL tabanlı algılama imzalarından kaçma girişimi olarak görülüyor.
ASEC, “İndirme için curl kullanımı ve tıpkı web tarayıcıları gibi onaltılı sayıyı destekleme yeteneği nedeniyle, ShellBot bir Linux sistem ortamına başarılı bir şekilde indirilebilir ve Perl aracılığıyla çalıştırılabilir” dedi.
Bu gelişme, ShellBot’un Linux sistemlerine yönelik saldırılar başlatmak için istikrarlı bir şekilde kullanıldığına tanık olmaya devam ettiğinin bir işaretidir.
Ek kötü amaçlı yazılım yüklemek veya ele geçirilen sunucudan farklı türde saldırılar başlatmak için kullanılabilen ShellBot sayesinde, kullanıcıların güçlü parolalara geçmeleri ve kaba kuvvet ve sözlük saldırılarına direnmek için bunları düzenli aralıklarla değiştirmeleri önerilir.
Açıklama aynı zamanda ASEC’in, saldırganların Lumma Stealer ve RedLine Stealer olarak bilinen bir türevi bilgi hırsızı kötü amaçlı yazılımını dağıtmak amacıyla Konu Adı ve Veren Adı alanları için alışılmadık derecede uzun dizelere sahip anormal sertifikaları silah haline getirdiğini ortaya çıkarmasıyla geldi. Rekor kıran.
ASEC, “Bu tür kötü amaçlı yazılımlar, arama motorları (SEO zehirlenmesi) aracılığıyla kolayca erişilebilen kötü amaçlı sayfalar aracılığıyla dağıtılıyor ve çok sayıda belirsiz kullanıcı için tehdit oluşturuyor.” söz konusu. “Bu kötü amaçlı sayfalar öncelikle diziler, keygenler ve crackler gibi yasa dışı programlarla ilgili anahtar kelimeler kullanıyor.”
Popular Articles
- 10 Jul Harry Potter Oyuncularının 13 yıl Sonraki Halleri
- 22 Jul Rio Olimpiyatları Yolunda Türkiye Yarı Finalde!
- 10 Jul Kedisinin Mutfak Tezgahına Çıkmasını Engellemek İçin Dahiyane Bir Yöntem Bulan Adam!
- 21 Jul Tüm Detaylarıyla Tapuda İntikal Nasıl Yapılır?
- 22 Jul Gaziantepte 3 Aylık Bebeğini Öldüresiye Döven Vicdan Yoksunu Babaya Sosyal Medyada Tepkiler Yükseldi
Latest Articles
- 13 Jul Bu bir PlayStation’a özel değil, ancak oyun bu konsollarda benzersiz olmaya devam edecek. Sony konsolları için Hogwarts Legacy özel bir görev sunacak
- 24 Jun Bilim Kurgu Efsanesi Doctor Who, İlk Kez Kadın Bir Karaktere Büründü!
- 19 Jul FbFund 2009 sezonunu açtı!
- 21 Jul Olası Sony Xperia 1 VI tanıtım tarihi sosyal medyada sızdırıldı
- 31 Jul Apple ID için yolun sonu! Apple Account resmiyet kazandı